Hikvision ha parcheado una vulnerabilidad en su servicio Hik-connect que permitía a cualquier usuario poder conectarse a cuentas de terceros con solo conocer su email, teléfono, o nombre de usuario que hubieran usado a la hora de registrarse.
El problema radicaba en que Hik-connect utiliza una cookie local para saber con que usuario se está conectado al servicio, y modificando manualmente esa cookie era posible conectarnos con la cuenta de ese otro usuario. Si bien esa cookie era un valor codificado, era posible descubrir ese valor al agregar a cualquier usuario como amigo, lo cual puede hacerse si se conoce su email, teléfono, o usuario que se usó a la hora de registrarse.
Una vez conectados con esa cuenta, era posible modificar el email, teléfono y contraseña del usuario, dejando al usuario por completo bloqueado fuera de su cuenta. Así mismo, si se trataba de un dispositivo en que no estuviera configurada la clave de encriptación, sería posible visualizar los equipos, modificar la configuración, y en el peor de los casos realizar una actualización remota del equipo con un firmware malicioso o corrupto, con lo que podría llegar a brickearse un dispositivo.
Nos gustaría destacar por una vez la velocidad en responder por parte de Hikvision; dicha vulnerabilidad fue notificada el pasado 20 de abril, y a día 24 ya estaba solucionado el problema.
Datos completos de la vulnerabilidad: Link
